构建多账号云环境的解决方案|高效构建安全合规的新账号

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 随着企业将业务迁移上云,为了应对复杂的业务与组织关系,越来越多的企业会采用多账号来部署云环境。对于新业务上线,企业会先创建一个云账号来部署资源。通过控制台上的账号注册流程需要完成企业实名认证,这个流程周期较长。等新账号注册下来之后,企业还需要配置账号内的安全合规基线,开通相关云服务,配置网络等一系列动作,费时费力。「账号工厂」就是这样一个解决方案,帮助企业在多账号场景下高效便捷的创建受管控的安全合规云账号。

演讲人:冬萌,阿里云开放平台技术专家

 

内容介绍:

一、企业多账号管理和治理需求

二、多账号体系下账号创建的痛点

三、多账号环境下账号创建解决方案

四、多账号环境下账号创建解决方案实例

 

本节课主要学习多账号环境下高效构建安全合规型账号的相关方案。

 

一、企业多账号管理和治理需求

首先,通过某企业的具体案例了解企业多账号管理和治理需求,如下图:

image.png

某家集团企业下属有10家子公司,各子公司的业务独立发展,因此该企业期望在云上做到业务的强隔离,所以该企业应采用多账号的架构部署云资源。
目前各子公司均独立运维,若要在各子公司上线新业务,出于以下几点考虑,该企业需要创建新账号来部署。
首先,使用新账号可以保证资源间的强隔离,让新业务快速启动,而不会影响到现有的线上业务;其次,可以从账号维度更加清晰地看到不同业务、不同部门的账单情况,实现灵活分账。但在该过程中也暴露出了很多安全风险的问题,如部分子公司创建的账号,RAM用户密码强度过低,或并未开启MF验证,再如,某些新账号未配置消息通知和联系人,导致错过了一些关键的安全和故障消息,在这种背景下,集团企业就需要对各个子公司进行统一管控,而如何快速交付安全合规的新账号是企业面临的重要挑战。

 

二、多账号体系下账号创建的痛点

如下图所示:

image.png

结合客户需要创建新账号的几个常见场景,除前面提到的新业务上线之外,如新项目POC验证,客户需要快速开发部署项目原型用以做业务或者云产品的可行性验证。

此时需要快速开始,且不能影响其他已有的业务。因此,可以新建账号来部署POC,保证资源的物理隔离以及清晰的安全边界。
再如,部分有出海需求的国内企业,企业出于业务发展等一系列诉求,需要把业务部署到海外,而在出海过程中不可避免地会面临当地的安全合规要求,如欧洲、美国等。此时,企业往往需要把海外的业务单独部署在新账号上,让账号能够满足当地的安全合规要求。

在这些场景下,客户创建的新账号在账号交付使用前还需要对账号进行一些初始使化的基础配置,包括访问配置、联系人、消息通知、网络设定等,这些基础配置称为账号基线。

1、创建效率低

在这过程中,企业首先面临的痛点是创建效率低下,尤其是需要大量频繁创建账号时,需要对每个账号进行基线的配置,如果要在控制台上逐个配置,操作繁杂,且费时费力。
另外,企业内的同类账号,如应用的测试账号,其基线中存在大量的相同配置,如密码强度等通用的安全配置,若每次新建账号都去控制台操作的话,则会产生大量无意义的重复劳动。

2、基线一致性无法保证

正如前面所说,企业内大量的同类账号需要相同的基线配置。在创建账号时,人工配置难免会出错或者遗漏,同时在账号基线更新时候需要批量应用到所有账号中,如果在控制台逐个账号进行操作,则更加难以保证基线的准确性和一致性。

 

三、多账号环境下账号创建解决方案

1、云治理中心——账号工厂

如何解决客户面临的痛点呢?我们可以通过云治理中心——账号工厂的解决方案实现新的安全合规账号的快速创建和交付。

image.png

首先,企业管理账号可以根据需要定义配置好的账号基线。账号工厂提供了丰富的基线项,如RAM用户密码策略、预置标签、联系人、云产品开通等,涵盖了身份权限、资源规划、网络安全等领域,通过对其配置组合,即可以定义账号基线。同时,账号工厂支持定义多个账号基线,可以满足不同用途的多种账号的基线所需。如通过账号来隔离测试环境和生产环境,测试账号和生产账号的基线不同,如VPC的网段、安全组的出入规则、预置标签等,使用多个账号基线就可以灵活区分按需使用。

定义完账号基线后,企业管理账号就可以创建新账号了。

创建的账号会自动部署,应用所选择的账号基线。至此,我们就完成了满足基线要求的新账号的交付。对于已有的存量账号,账号工厂也支持将其纳管进来。企业管理账号可以将所需的账号基线部署到这些存量账号中。

当账号基线更新或者发生偏移时,通过账号工厂还可以批量的重新下发,将基线应用到所需的目标账号中,持续地保证账号基线的一致性。

 

2、使用账号工厂

如下图所示:

首先,企业管理账号开通云治理中心,访问云治理中心的账号工厂页面,通过账号工厂提供的基线项编排配置所需的基线。

image.png

接下来,即可使用定义好的基线创建账号,也可将已有账号纳管,将基线批量应用到已有账号中。

image.png

3、云治理中心

账号工厂其实是云治理中心这款产品的其中一项功能,接下来我们再简单介绍一下云治理中心,让大家有宏观的了解。

image.png

企业上云、用云一般有四个阶段,即上云战略、上云准备、应用上云以及持续管理治理。

在上云准备和持续管理治理阶段,提供了Landing ZoneWell-Architected的框架,用来指导用户上云、用云以及管云,而云治理中心就是基于两个框架的产品化实现。

在企业上云阶段,云治理中心提供了蓝图搭建和账号工厂功能,前者帮助客户一站式地搭建安全合规的企业上云框架,即Landing Zone结构,而账号工厂是本次方案的主角,可以帮助企业在Landing Zone框架下快速、高效地创建安全合规的账号。

在云上管理治理阶段,云治理中心提供了治理成熟度检测,以及即将上线的WA Tool,对企业云上IT治理成熟度进行客观和主观的度量,实现云上业务的持续治理。通过云治理中心就可以一站式搭建并持续管理企业云上的安全合规环境。

 

四、多账号环境下账号创建解决方案实例

1、解决方案

回到开篇提到的集团企业案例,它是Landing Zone多账号的架构。

image.png

企业管理账号,即开通资源目录的Master账号,该账号可以对整个集团的资源结构进行管理,同时也会有一些职能账号,如日志账号、安全账号、运维账号等,用来对集团进行统一管控。这些职能账号会统一放到Core资源夹下,其他的应用账号会统一放到Application资源夹下。企业当前已通过云治理中心蓝图搭建完成了Landing Zone环境的搭建,包括资源结构初始化、核心智能账号的创建、审计日志统一投递等,接下来企业管理账号就可以通过云治理中心账号工厂来创建交付业务应用所需要的账号。

以下是基于账号工厂高效创建安全合规型账号的解决方案:

image.png

可以看到集团企业业务应用分为开发环境和正式环境,两个环境的账号是隔离的,对应的账号存在明显差异。

首先,在标签上,两者对应的标签值不同,需要区分开发和正式;其次,企业需要统一镜像的安全基线和打包构件,因此,会统一下发镜像,而开发和正式环境的镜像也是存在差异的;最后,在网段安全组出入规则上,两个环境也并不相同。

因此管理账号在账号工厂中就可以为开发和正式环境分别定义两条账号基线,其中通过账号工厂提供的预置标签、共享镜像等基线项可以分别配置。当然某些业务账号也存在共性,如开通云产品,业务都需要使用的云产品,如OSSSLS,可以统一批量开通。

有的集团企业会有统一的职能账号做财务管理和运营管理等,因此,应用账号的联系人和消息通知也需要统一配置到对应的职能账号上。最后,一些基础的安全配置,像RAM用户的密码强度、安全设置等,都需要保证统一的安全基准。因此可以再定义一条账号基线,统一进行基础的通用配置,然后批量应用到所有的存量账号中,保证所有业务账号的基础基线完全一致。

2、实例演示

进入到具体产品的控制台,演示账号工厂的使用。

首先,进入云治理中心控制台,在控制台的搜索栏或左边的产品列表里都可以云治理中心。若是第一次使用云治理中心,会有产品开通的流程,建议使用企业管理账号开通、使用云治理中心,开通之后就可以进入账号工厂。首先需要编排账号基线,这里允许用户定义多个基线以满足不同类型账号的初始化需求。根据以上解决方案,已经为集团企业创建了三个基线,接下来分别进行了解。

image.png

左边是当前基线包含的基线项列表,可以通过下面的“添加基线项”按钮增加所需要的基线项,目前的账号工厂支持12个原子的基线项。基线项整体分为两部分,第一部分是通用设置,即蓝图搭建中的搭建项,它可以继续应用在账号工厂创建的账号中;第二部分是自定义的基线项,首先,可以配置账号联系人和消息通知,以往每创建一个账号就需要登录到账号上配置,而现在通过基线就可以一键完成。

在案例中创建了财务联系人,在消息通知中,根据需要可以将不同的消息通知到对应的联系人,如而将所有相关的财务消息都统一通知给财务联系人。

image.png

消息通知中提供了两种编辑模式,即简洁模式和高级模式。简洁模式中,可以同时开启整个通知分类;在高级模式中可以对每个分类下的原子消息进行单独配置。RAM相关的一系列的基线项,如RAM用户的安全设置以及RAM密码策略。

最后开通云产品,很多云产品需要开通或创建服务关联角色,只有完成这些才能使用云产品。在企业生产账号并且交付给应用或者产业团队使用时,期望能够完成所需产品的开通,可直接使用,使用账号工厂的基线项就可以保证新创建的账号默认开通了所需的云产品。在云产品列表中勾选上需要开通的云产品,如勾选了KMSOSSSLS

image.png

关于业务账号的基线,比如定义正式环境的账号基线,在基线中首先预置标签,通过预置标签可以把规划好的标签结构统一初始化在所有的新建账号中,预置了指示prod的环境标签,后面是一系列资源初始化的基线项,在VPC的基线项中,可以预置默认VPC,同时配置其交换机,划分网段,包括设置网络访问控制,像安全组、共享镜像等几个基线项支持将配置好的安全组以及镜像下发预置到新创建的账号中。

image.png

接下来点击“创建账号”按钮,选择需要应用的基线,如选择应用开发环境账号基线,填写账号的基本信息,选择账号所属的资源夹,配置其结算关系,这里还可以继续修改基线中定义的基线项。填写完成后,就可以进入到预览页面,确认无误后即可开始执行。在结果页面,可以实时看到当前的执行进度。

image.png

除可新建账号外,还可以将基线应用到已有的账号上,如把基础基线中的RAM密码策略批量刷到一些账号中。首先先选择目标基线项,再选择所需的账号,选择application资源夹下的生产账号和测试账号,进入“下一步”预览,预览无误后即可开始执行。这样就可以将基线下批量的应用到目标账号中。

image.png

同时,该过程是可以不断重复的,例如,在调整基线之后需要下发到所有账号中,进而批量应用到所有账号,每次修改均可再次应用。最后,在账号列表中,可以看到创建的所有账号,据此可以得出,账号工厂可以极大地提升用户效率,并可以持续保证账号的基线一致性。

image.png

以上是关于使用账号工厂高效创建安全合规新账号方案的全部内容。


  >>>欢迎点击资源管理产品控制台体验更多功能

相关实践学习
【涂鸦即艺术】基于云应用开发平台CAP部署AI实时生图绘板
【涂鸦即艺术】基于云应用开发平台CAP部署AI实时生图绘板
相关文章
|
11月前
|
云安全 监控 安全
出海合规云安全,AWS Landing Zone解决方案建立安全着陆区
出海合规云安全,AWS Landing Zone解决方案建立安全着陆区
|
10月前
|
机器学习/深度学习 人工智能 自然语言处理
深度学习中的卷积神经网络(CNN): 从理论到实践
本文将深入浅出地介绍卷积神经网络(CNN)的工作原理,并带领读者通过一个简单的图像分类项目,实现从理论到代码的转变。我们将探索CNN如何识别和处理图像数据,并通过实例展示如何训练一个有效的CNN模型。无论你是深度学习领域的新手还是希望扩展你的技术栈,这篇文章都将为你提供宝贵的知识和技能。
933 7
|
存储 安全 数据管理
python如何批量创建文件与文件夹
python如何批量创建文件与文件夹
404 0
|
9月前
|
数据可视化
阿里云产品十一月刊来啦
阿里云百炼上线新模型可支持100万超长上下文,通义灵码支持代码逻辑可视化,多款产品能力新升级,详情请点击阿里云产品十一月刊
164 6
|
8月前
|
存储 搜索推荐 大数据
数据大爆炸:解析大数据的起源及其对未来的启示
数据大爆炸:解析大数据的起源及其对未来的启示
419 15
数据大爆炸:解析大数据的起源及其对未来的启示
|
7月前
|
云安全 人工智能 安全
阿里云网络安全体系解析:如何构建数字时代的"安全盾牌"
在数字经济时代,阿里云作为亚太地区最大的云服务提供商,构建了行业领先的网络安全体系。本文解析其网络安全架构的三大核心维度:基础架构安全、核心技术防护和安全管理体系。通过技术创新与体系化防御,阿里云为企业数字化转型提供坚实的安全屏障,确保数据安全与业务连续性。案例显示,某金融客户借助阿里云成功拦截3200万次攻击,降低运维成本40%,响应时间缩短至8分钟。未来,阿里云将继续推进自适应安全架构,助力企业提升核心竞争力。
|
10月前
|
监控 Java 微服务
微服务调用失败时常用处理手段
【10月更文挑战第27天】在微服务架构中,服务调用面临诸多不确定性,如服务提供者的硬件故障、网络问题等。因此,需要采取超时、重试、双发和熔断等策略来确保服务的稳定性和可靠性。超时机制避免长时间等待,重试机制应对偶发错误,双发机制提高成功率,熔断机制防止故障扩散。这些策略共同作用,保障了系统的高可用性。
|
存储 缓存 物联网
新EDPB指南:不只是Cookie
保障中国企业符合《个人信息保护法》合规,方案包括梳理基线、发现敏感信息、简化评估工作流、快速响应权利请求、满足告知同意要求,以及有效保护敏感数据。用九智汇整合自动化工具和规则引擎,确保高效风险评估、合规证据链建立,进一步保障数据安全。
222 1
|
传感器 算法 机器人
在实用化人形机器人控制系统中深入应用FPGA的框架设计(基于特斯拉Optimus-Gen2的硬件系统)
针对实用化人形机器人的控制系统,以深入应用FPGA技术为指导思想做了一个框架设计,提供一个具象化的设计实例、参考技术方案,协助各研发团队及相关决策者了解这一技术思路的价值。 进而,笔者希望读者将这个框架设计与《在实用化人形机器人研发流程中深入应用FPGA技术的流程图》结合起来进行分析、思考,希望: 进一步降低将FPGA深入应用于人形机器人在纯粹技术维度上的门槛; 助力更多正在人形机器人领域参与竞争的团队 -- 及时做出实质性决策,及时将更多资源分配到深入应用FPGA技术这一竞争维度。
648 4
在实用化人形机器人控制系统中深入应用FPGA的框架设计(基于特斯拉Optimus-Gen2的硬件系统)
|
机器学习/深度学习 人工智能 算法
开源vs闭源大模型如何塑造技术的未来?开源模型的优劣势&未来发展方向
开源vs闭源大模型如何塑造技术的未来?开源模型的优劣势&未来发展方向
1949 0